Ponad 160 000 firm i instytucji z 27 państw członkowskich UE musi do 17 października 2024 r. wprowadzić nowe zabezpieczenia przed cyberatakami. To obowiązek wynikający z dostosowania się do europejskiej dyrektywy NIS2. W przypadku udanego cyberataku konieczne jest wdrożenie raportów wymaganych przez NIS2, w przeciwnym razie grożą wysokie kary: do 10 milionów euro lub 2% rocznego obrotu.
Surowe kary za zaniedbania
Dyrektywa NIS2 wprowadza dotkliwe kary w wysokości nawet 10 milionów euro lub 2% światowych obrotów dla podmiotów kluczowych. To sprawia, że zarządy objętych przepisami przedsiębiorstw powinny zwrócić na nią szczególną uwagę. Eksperci ds. cyberbezpieczeństwa podkreślają, że grupa ta po raz pierwszy będzie osobiście odpowiedzialna za awarie bezpieczeństwa cybernetycznego. „Zapoznanie się i zrozumienie zakresu wymagań nowej dyrektywy NIS2 jest absolutnie niezbędne dla kierownictwa firm. Przecież to oni poniosą odpowiedzialność w przypadku udowodnionych uchybień od października 2024,” podkreśla Wojciech Głażewski, dyrektor z firmy Check Point Software Technologies w Polsce.
Gotowość do zmian
Minister Cyfryzacji stoi przed zadaniem pilnego przygotowania wytycznych w zakresie wprowadzenia unijnych przepisów, aby firmy i odpowiedzialne zarządy mogły już teraz zacząć dostosowywać się do zmian. Tymczasem, jak wynika z raportu „W oczekiwaniu na NIS2: stan przygotowań” – CSO Council, EY Polska, Trend Micro – 25% firm w Polsce nie ma nawet świadomości, że dyrektywa ich dotyczy, a ponad 30% organizacji nie postrzega nowych regulacji jako priorytetu.
Cztery lata na wdrożenie
Polskie spółki objęte dyrektywą NIS2 będą miały cztery lata (do końca 2028 r.) na wdrożenie nowych wymogów i poddanie się pierwszemu audytowi. Nowe regulacje zaczną jednak obowiązywać wcześniej. „Mając na uwadze lawinowo rosnącą ilość ataków zarówno na infrastrukturę krytyczną, jak i tysiące małych firm, kluczem będzie zastosowanie systemów, nie tylko detekcji incydentów, ale również prewencji i szybkiego reagowania,” mówi Wojciech Głażewski z Check Point Software Technologies.
Najbardziej wrażliwe sektory
Eksperci Check Point wskazują na najbardziej wrażliwe sektory gospodarki, które mogą być narażone na cyberataki i podlegają nowym obowiązkom NIS2. Blisko 38% Polaków obawia się wycieku danych osobowych z baz instytucji publicznych i firm prywatnych.
Szpitale na celowniku
Jednym z najbardziej zagrożonych sektorów jest służba zdrowia. Dane z Check Point Research pokazują, że liczba ataków na szpitale i placówki medyczne wzrosła o kilkadziesiąt procent. „Hakerzy coraz częściej uderzają placówki medyczne, kradną dane i blokują urządzenia ratujące życie. Konsekwencje mogą być bardzo poważne,” mówi Wojciech Głażewski. W Polsce jednym z najbardziej znanych przypadków wycieku danych pacjentów był atak na znaną sieć laboratoriów w listopadzie 2023 r.
Edukacja, infrastruktura krytyczna i armia w niebezpieczeństwie
Dyrektywa NIS2 ma zabezpieczyć czułe punkty UE przed zagrożeniami takimi jak ataki terrorystyczne, sabotaże czy cyberataki. Państwa UE mają ściślej współpracować w ramach zwalczania cyberprzestępczości, a Europejska Sieć Organizacji Łącznikowych ds. Cyberkryzysów (EU-CyCLONE) będzie odpowiadać za koordynację zarządzania incydentami i kryzysami cybernetycznymi.
Praktyczne zmiany dla przedsiębiorstw
Nowa dyrektywa NIS2 oznacza dla przedsiębiorstw obowiązek tworzenia wewnętrznych centrów bezpieczeństwa, monitorujących incydenty i zagrożenia, odpowiedzialnych za zarządzanie kryzysami oraz implementację rozwiązań technologicznych adekwatnych do ryzyka. Eksperci Check Point podkreślają, że stosowanie już teraz odpowiednich mechanizmów ochronnych jest dobrym posunięciem. Za nieprzestrzeganie przepisów grożą wysokie grzywny, a firmy mogą stracić certyfikaty lub zezwolenia na działalność.
Długoterminowe zmiany
Przejście do zgodności z NIS2 to proces długoterminowy, który wymaga współpracy ekspertów ds. zarządzania i bezpieczeństwa informacji. Firmy będą musiały co roku udowadniać zgodność swojej infrastruktury IT z NIS2, dokumentując, że podjęły odpowiednie środki techniczne, operacyjne i organizacyjne.
Dyrektywa NIS2 ma ogromne znaczenie dla bezpieczeństwa cybernetycznego w UE, a firmy muszą się do niej odpowiednio przygotować, aby uniknąć dotkliwych kar i zapewnić ochronę swoich danych oraz infrastruktury.